Celah Kernel Linux 9 Tahun Membuka Akses Root di Distribusi Utama

Para peneliti keamanan siber baru-baru ini mengungkapkan rincian tentang kerentanan pada kernel Linux yang telah tidak terdeteksi selama sembilan tahun. Kerentanan ini, yang diberi kode CVE-2026-46333 dengan skor CVSS 5.5, merupakan kasus improper privilege management atau pengelolaan hak istimewa yang tidak tepat yang memungkinkan pengguna lokal tanpa hak akses melakukan pengungkapan file sensitif serta mengeksekusi perintah sebagai root pada instalasi default berbagai distribusi utama seperti Debian, Fedora, dan Ubuntu. Kerentanan ini juga dikenal dengan kode ssh-keysign-pwn.

Detail Kerentanan dan Dampaknya

Menurut penjelasan dari perusahaan keamanan Qualys, yang menemukan celah ini, masalah tersebut bersumber dari fungsi __ptrace_may_access() di dalam kernel Linux dan telah ada sejak November 2016.

"Primitif ini sangat andal dan mengubah shell lokal manapun menjadi jalan menuju akses root atau material kredensial sensitif," ujar Saeed Abbasi, Manajer Senior Unit Riset Ancaman di Qualys.

Eksploitasi berhasil terhadap celah ini memungkinkan penyerang lokal untuk mengakses file /etc/shadow serta kunci privat host yang berada di /etc/ssh/*_key. Selain itu, penyerang dapat mengeksekusi perintah arbitrer sebagai root melalui empat exploit berbeda yang menargetkan chage, ssh-keysign, pkexec, dan accounts-daemon.

Respons dan Mitigasi

Pengungkapan ini muncul bersamaan dengan rilis proof-of-concept (PoC) exploit untuk kerentanan tersebut yang muncul pekan lalu, menyusul adanya komit kernel publik. CVE-2026-46333 merupakan celah keamanan terbaru yang diungkap di kernel Linux setelah kerentanan-kerentanan seperti Copy Fail, Dirty Frag, dan Fragnesia dalam sebulan terakhir.

Untuk melindungi sistem, sangat disarankan untuk segera mengaplikasikan pembaruan kernel terbaru yang telah dirilis oleh distribusi Linux masing-masing. Jika pembaruan tidak dapat dilakukan secara langsung, solusi sementara adalah dengan menaikkan nilai konfigurasi kernel.yama.ptrace_scope menjadi 2.

"Pada host yang telah memberikan akses bagi pengguna lokal tidak terpercaya selama masa paparan, anggap kunci host SSH dan kredensial yang disimpan secara lokal berpotensi telah bocor," kata pihak Qualys. "Lakukan rotasi kunci host dan tinjau kembali segala material administratif yang pernah ada dalam memori proses set-uid."

Kasus Serupa dan Tren Eksploitasi Kernel Linux

Kejadian ini berbarengan dengan rilis PoC exploit untuk celah eskalasi hak istimewa lokal lain yang dinamakan PinTheft. Exploit ini memungkinkan penyerang lokal mendapatkan akses root pada sistem Arch Linux. Namun, exploit ini membutuhkan modul Reliable Datagram Sockets (RDS) aktif, io_uring diaktifkan, keberadaan biner SUID-root yang dapat dibaca, serta dukungan arsitektur x86_64 untuk payload yang digunakan.

"PinTheft adalah exploit eskalasi hak istimewa lokal Linux untuk double-free RDS zerocopy yang dapat diubah menjadi overwrite cache halaman melalui buffer io_uring yang sudah diperbaiki," jelas Zellic dan tim keamanan V12.

"Bug ini berada di jalur pengiriman RDS zerocopy. Fungsi rds_message_zcopy_from_user() mempin halaman pengguna satu per satu. Jika terjadi page fault pada halaman berikutnya, jalur error akan melepaskan halaman yang sudah dipin sebelumnya, dan pembersihan pesan RDS kemudian akan melepaskan halaman yang sama lagi karena scatterlist dan jumlah entri tetap aktif setelah notifikasi zerocopy dibersihkan. Setiap pengiriman zerocopy yang gagal dapat mencuri satu referensi dari halaman pertama."

Analisis Redaksi

Menurut pandangan redaksi, pengungkapan celah CVE-2026-46333 ini menegaskan pentingnya pengawasan berkelanjutan terhadap kode kernel Linux, mengingat kerentanan ini sudah ada hampir satu dekade tanpa terdeteksi. Hal ini menunjukkan bahwa meskipun kernel Linux adalah salah satu inti sistem operasi open-source paling banyak digunakan, masih terdapat risiko tersembunyi yang dapat dimanfaatkan oleh penyerang lokal untuk mendapatkan akses tertinggi di sistem.

Efek dari kerentanan ini tidak hanya berdampak pada pengguna individu, melainkan juga institusi besar yang mengandalkan distribusi Linux seperti Debian dan Ubuntu, yang banyak digunakan di server dan infrastruktur kritis. Oleh karena itu, selain melakukan pembaruan kernel, organisasi harus menerapkan praktik keamanan tambahan seperti membatasi akses pengguna lokal dan melakukan rotasi kunci host secara rutin.

Ke depan, kita perlu mengawasi bagaimana komunitas Linux dan vendor distribusi merespons dengan cepat terhadap temuan-temuan baru yang berpotensi membahayakan keamanan sistem, serta bagaimana mitigasi jangka panjang dapat diimplementasikan untuk mengurangi risiko eksploitasi serupa.

Untuk informasi lebih lanjut tentang kerentanan ini dan update terkini, pembaca dapat merujuk ke laporan resmi dari The Hacker News dan sumber terpercaya lainnya.